内部控制框架的建立.pptVIP

* * * 2004年9月COSO《企业风险管理——整合框架》（Enterprise Risk Management—Integrated Framework）。 2.2 企业风险管理—整合框架 2.3.1企业风险管理框架的定义（P24） 一个由企业的董事会、管理层和其他员工(2)共同参与的，应用于企业战略制定(3)和企业内部各个层次和部门(4)的，用于识别可能对企业造成潜在影响的事项(5)并在其风险偏好范围内管理风险的，为企业目标(7)的实现提供合理保证(6) 的过程(1) 。 Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. 2.2 企业风险管理—整合框架 2.3.1.1 A Process（一个过程，它持续地流动于主体之内） 2.3.1.2 Effected by People（ 由组织中各个层级的人员实施） 2.3.1.3 Applied in Setting Strategy（应用于战略制订） 2.3.1.4 Applied in Setting Strategy（贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观） 2.3.1.5 Risk Appetite（旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内） 2.3.1.6 Provides Reasonable Assurance（ 能够向一个主体的管理当局和董事会提供合理保证） 2.3.1.7 Achievement of Objectives（力求实现一个或多个不同类型但相互交叉的目标） 2.2 企业风险管理—整合框架 2.3.2企业风险管理的目标（P25） 战略 ——高层次目标，与使命相关联并支撑其使命 经营——有效和高效率地利用其资源 报告——报告的可靠性 合规——符合适用的法律和法规 Strategic – relating to high-level goals, aligned with and supporting the entity’s mission Operations – relating to effective and efficient use of the entity’s resources Reporting – relating to the reliability of the entity’s reporting Compliance – relating to the entity’s compliance with applicable laws and regulations 2.2 企业风险管理—整合框架 2.3.3企业风险管理的要素（P26） ? Internal Environment （ 内部环境） 管理当局确立关于风险的理念，并确定风险容量。内部环境为主体中的人们如何看待风险和着手控制确立了基础。所有企业的核心都是人——他们的个人品性，包括诚信、道德价值观和胜任能力——以及经营所处的环境。 2.2 企业风险管理—整合框架 风 险 要 素 ? Objective Setting （ 目标设定）：必须先有目标，管理当局才能识别影响它们的实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相一致。 ? Event Identification （ 事项识别）：必须识别可能对主体产生影响的潜在事项。事项识别涉及到从影响目标实现的内部或外部原因中识别潜在的事项，它包括区分代表风险的事项和代表机会的事项，以及可能二者兼有的事项，机会被反馈到管理当局的战略或目标制订过程中。 ? Risk Assessment （ 风险评估）：要对识别的风险进行分析，以便形成确定应该如何对它们进行管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影